Витік токенів GitHub наражається на небезпеку репозиторії Python
22.07.2024
Компанія JFrog, яка виявила токен особистого доступу GitHub, заявила, що секретна інформація була розкрита в публічному контейнері Docker, розміщеному на Docker Hub.
Зловмисник міг гіпотетично використовувати свої права адміністратора для організації великомасштабної атаки на ланцюжок поставок, отруївши вихідний код, пов'язаний з ядром мови програмування Python або менеджером пакетів PyPI.
JFrog зазначив, що токен аутентифікації був виявлений усередині контейнера Docker, у скомпілюваному файлі Python ("build.cpython-311.pyc"), який помилково не був очищений.
Після відповідального розкриття 28 червня 2024 року токен, випущений для облікового запису GitHub, пов'язаного з адміністратором PyPI Ee Durbin, був негайно відкликаний. Немає жодних доказів того, що секрет був використаний.
PyPI повідомила, що токен був випущений до 3 березня 2023 року, і що точна дата невідома, оскільки журнали безпеки недоступні понад 90 днів.
Інформація з'явилася після того, як Checkmarx виявила серію шкідливих пакетів на PyPI, призначених для передачі конфіденційної інформації в бот Telegram без згоди або відома жертв.
Пакети, що розглядаються – testbrojct2, proxyfullscraper, proxyalhttp і proxyfullscrapers – працюють шляхом сканування зламаної системи на наявність файлів з розширеннями .py, .php, .zip, .png, .jpg та .jpeg
Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitHub, Inc. в компанію «ФОРТ СОФТ» за електронною поштою: [email protected] або за телефоном: +380(44)333-8268.